キーワード解説

特集などに出てきた重要語句を分かりやすく解説

2014/6/16

APT攻撃

APT攻撃とは

 APT(Advanced Persistent Threat、高度で継続的な脅威)攻撃とは、サイバー攻撃の一種。標的型攻撃の中でも、ターゲットを絞って長期間に及ぶ執拗な攻撃を行うものをAPT攻撃と呼ぶ。


 一般的な標的型攻撃もターゲットを設定して目的を絞ったサイバー攻撃を行う。しかし、APT攻撃の場合は、企業や国家機関などに標的型メールなどを使ってまずは社員のPCに潜伏。組織に悟られないように、長期間にわたって継続的にわずかずつサイバー攻撃をしかけていくことで、ゆっくりと乗っ取りを進めていく攻撃を指す。


 最終的には、正式なアクセス権限などを手に入れて情報を盗む、あるいは盗んだ情報を元に組織に対する脅しや金銭の要求などを行う。情報処理推進機構(IPA)では「標的型諜報攻撃」と説明しているようにまさに「スパイ」のような攻撃を行うのだ。

APT攻撃は、複数の攻撃方法の組み合わせから成り立っている
APT攻撃は、複数の攻撃方法の組み合わせから成り立っている

APT攻撃の歴史


 APT攻撃の最初の侵入方法は多岐にわたるが、共通して使われるのがソーシャルエンジニアリングだ。ソーシャルエンジニアリングとは、技術的な方法で侵入するのではなく、管理者やユーザの心理的な間隙をついてサイバー攻撃をしかける手段のことを指す。


 ソーシャルエンジニアリングの手法を使ってウイルスに感染させる電子メールに端を発する標的型攻撃は、2005年に英国と米国のCERTが公表したのが最初期と言われている。この頃は、APTという名称は使用されていなかったが、2006年に入り「APT」という言葉で広く呼称されるようになる。


 実際にAPT攻撃が盛んになったのは、標的型攻撃が話題になったのと同じ時期だ。日本ではソニー・オンラインエンタテイメントが1億人の情報流出や、衆参両議院・防衛関連企業へのサイバー攻撃が発生したのを境に、話題に上るようになった。海外では2009年にイランの核施設を攻撃したスタックスネットなどがAPT攻撃に該当する。


 スタックスネットの場合は、スタンドアローン環境(=ネットワークからは切り離された独立した環境)にあったが「自宅PCで感染したUSBメモリを、業務でも使用した」「悪意のある誰かが感染したUSBメモリを施設内に置き、拾った人間が不用意に施設内のPCで使ってしまった」などの方法で侵入したと考えられている。スタンドアローン環境で侵入するはずがない、という思い込みを利用されたとも言える。


 日本で攻撃の起点に使われたのは関係者を装ったメールと、それに添付されたファイルだ。関係者からのメールと思えば、受信者は油断して添付されたファイルも開いてしまう。


APT攻撃の侵入後


 いわゆる一般的な標的型攻撃と特にAPT攻撃と言われるサイバー攻撃が区別されるのは、侵入後の攻撃にある。APT攻撃は、侵入したPCに攻撃プログラムを追加でダウンロードしたり、あるいは徐々に制御する範囲を広げていく。日々の管理を考えると履歴やログに表れる差は微々たるもののため、管理者は気が付かないケースが大半だ。


 こうして攻撃者は目標を乗っ取る準備を徐々に進めていく。あるいは単純に情報を窃盗できるまで執拗に攻撃を繰り返すケースもある。いずれにしても100%の防御が存在しない以上、繰り返し攻撃されていればどこかで防御のほころびが生じる。こうしたほころびから情報を窃盗していくのだ。


 APT攻撃による被害額は年々増加しており、その対策が望まれるが、人の隙に付け込む攻撃のために情報セキュリティの範囲だけでの対策は難しい。マネジメントレベルでの対策も望まれるだろう。

(井上宇紀)

HH News & Reports 関連おすすめ記事

標的型攻撃について詳しく解説(2011/12/26)

【関連カテゴリ】

情報セキュリティ